网络安全之病毒、木马攻防.ppt

中国科技网 网络安全之病毒、木马攻防 目录 系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施 2003年CERT报告了3784个漏洞 2003年微软共公布51个安全公告 2004年截止到8.10共公布26个安全公告 系统漏洞 2003年的重大漏洞 2003.3 RPC漏洞 ——冲击波Worm Blaster、Worm.SdBotRPC、Worm.AutoRooter （8月）等 5月 SendMail被发现存在严重安全漏洞 6月 IIS被发现存在4个严重漏洞 7月 针对Cisco路由设备的攻击漏洞 10月 Windows Message服务被发现存在严重漏洞 ………… 2004年的重大漏洞 2004.4 微软MS04-011、012、013远程执行代码漏洞 ——“震荡波”及变种（I-Worm/Sasser） 2004.6 Cisco IOS拒绝服务漏洞 苹果Mac系统首发重大漏洞 2004.7 Microsoft Task Scheduler和HTML帮助远程控制漏洞 2004.8 Oracle发现多个重大安全漏洞 攻击方式 利用邮件附件，诱骗受害者打开 构建恶意网站，并诱使受害者访问。 攻击方式 利用系统漏洞 如震荡波Worm.sasser，利用微软MS04-011公告lsass.exe缓冲区溢出漏洞。系统中病毒后TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，如果发现开放了445、5554等端口，并且没有打补丁的机器就会中病毒。 面对漏洞我们应该怎么做？ 打补丁。以往的统计数字表明，及时打补丁能有效防止大多数病毒爆发。 补丁危机 怎样打补丁？ 对用户进行安全培训，形成定期更新系统的习惯。 Windows系统尽量开启自动定时更新，以减少网络管理人员的工作量。 对重要系统实行手动更新，更新前做好备份和记录工作。 在需要打补丁的系统数量多的情况下，使用补丁管理系统，实现补丁的扫描、分发和安装。 1、系统管理服务器（Systems Management Server， SMS） 2、终端服务（Terminal services） 3、AppExpress、Landesk 目录 系统漏洞及常见网络攻击手段 病毒（蠕虫）技术发展及防范 木马技术介绍及防范措施 病毒的分类 其他 当今病毒演化趋势 病毒的发展趋势 病毒更新换代向多元化发展 依赖网络进行传播 攻击方式多样（邮件87%，网页，局域网等） 利用系统漏洞成为病毒有力的传播方式 病毒与黑客技术相融合 伪装的更巧妙。 “网络天空” 及变种（I-Worm/NetSky）甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOOM、雏鹰等网络蠕虫。 病毒的传播速度越来越快 病毒散布有“多快”（从最初被发现到大量主机被感染） 1997 : WM/Cap : 2 个月 1999 : WM/Melissa : 1 天 2000 : VBS/Loveletter: 4 小时 2001 : CodeRed : 1 小时 2004 : worm.witty :半小时 病毒的危害越来越大 占用系统资源，使被感染主机运行速度变得极为缓慢甚至崩溃，正常应用无法运行。 占用大量网络带宽，甚至使网络瘫痪。 对特定著名服务器发动DOS攻击。如微软、yahoo、google等。 反复重启系统，如冲击波、震荡波等 攻击防病毒软件。 放置木马、后门，偷取商业信息及个人、企业用户的隐私。 其他 病毒带来的威胁 近年来全球重大电脑病毒疫情及损失的统计图： 实例：SQL Slammer 病毒入侵途径 我们的应对措施 如何才能有效防治病毒 预防为主 + 紧急措施 建立局域网内部的升级系统，包括各种操作系统的补丁升级，各种常用的应用软件升级，各种杀毒软件病毒库的升级。 对邮件服务器进行监控，防止带毒邮件进行传播。 对局域网用户进行安全培训 去掉服务器中不必要的共享和服务 如何才能有效防治病毒 控制传染源 Internet网关 90%病毒的入侵渠道 网络客户机 其余10%病毒的入侵渠道 如何才能有效防治病毒 控制病毒的扩散途径 邮件服务器 Web服务器 文件服务器 客户端、PC安装反病毒防火墙 培训，养成不打开来历不明的邮件的习惯。尤其不要打开附件。 如何才能有效防治病毒 选择最快的升级途径，包括对操作系统和反病毒软件的升级。 通过Internet升级进行每天/每小时的升级 企业网内防毒产品自动部署机制 安装，随时升级 如何才能有效防治病毒 集中的管理 集中的病毒警报机制 集中的安全产品部署、策略部署和升级机